Mercedes-Benz je slučajno podelio svoj izvorni kod i poslovne tajne sa celim svetom
Izvorni kod unutrašnjih sistema kompanije je nenamerno objavljen na javnom GitHub serveru zbog ljudske greške
Mercedes-Benz se suočio sa značajnim bezbednosnim propustom nakon što je otkriveno da je slučajno podelio svoj izvorni kod i poslovne tajne sa celim svetom. Propust je otkrila britanska kompanija za bezbednost, RedHunt Labs, koja je pronašla token za autentifikaciju zaposlenog u Mercedes-Benzu na javnom GitHub repozitorijumu. Ovaj token je omogućavao "neograničen pristup" poslovnim tajnama i drugim ključnim podacima za autentifikaciju nemačkog automobilskog giganta.
RedHunt je identifikovao izloženi token za autentifikaciju tokom rutinskog skeniranja interneta u januaru, iako je token objavljen još u septembru 2023. godine. Korišćenjem privatnog ključa, zlonamerni akteri ili sajber kriminalci mogli su da dobiju potpuni pristup GitHub Enterprise Serveru koji pripada Mercedes-Benzu, gde su skladištene velike količine osetljivih podataka.
Token je omogućio "neograničen" i "nenadgledan" pristup velikoj količini intelektualne svojine Mercedes-Benza, uključujući nacrte, dizajnerske dokumente i druge "kritične" interne informacije. Server je takođe hostovao ključeve za pristup oblaku, API ključeve i dodatne lozinke, što je moglo biti iskorišćeno za narušavanje celokupne IT infrastrukture proizvođača automobila, stvarajući bezprecedentnu i haotičnu situaciju.
Osim toga, otkriveno je da su nezaštićeni repozitorijumi izložili ključeve za Microsoft Azure i Amazon Web Services (AWS) servere, Postgres bazu podataka, pa čak i izvorni kod softvera Mercedes-Benz-a. Prema rečima istraživača, na pogođenim serverima nisu bili hostovani podaci o kupcima, piše TechSpot.
RedHunt je o ovom bezbednosnom incidentu obavestio TechCrunch, koji je potom obavestio Mercedes-Benz. Portparol nemačke kompanije potvrdio je da je neograničeni API token opozvan, a javni repozitorijum je "odmah" uklonjen.
Izvorni kod unutrašnjih sistema kompanije je nenamerno objavljen na javnom GitHub serveru zbog ljudske greške, rekao je portparol. Interna istraga je i dalje u toku, a biće sprovedene i dodatne "korektivne mere".
Iako je token bio izložen javnom pristupu mesecima, do sada nema dokaza da su zlonamerni akteri ili sajber kriminalci otkrili i zloupotrebili tajnu kako bi kompromitovali poslovanje Mercedes-Benza. Kompanija nije potvrdila da li je bila u mogućnosti da detektuje nepoznate pokušaje pristupa svojim sistemima putem pristupnih zapisa ili drugih bezbednosnih mera.
(Telegraf.rs)